اكتشف الباحثون نقاط ضعف في خدمة Azure Health Bot التي تعمل بالذكاء الاصطناعي
اكتشف باحثو الأمن السيبراني عيبين أمنيين في خدمة Azure Health Bot Service من Microsoft، والتي، إذا تم استغلالها، يمكن أن تسمح لممثل ضار بتحقيق حركة جانبية داخل بيئات العملاء والوصول إلى بيانات المرضى الحساسة.
وقال Tenable في تقرير جديد إن المشكلات الحرجة، التي قامت Microsoft بتصحيحها الآن، كان من الممكن أن تسمح بالوصول إلى الموارد المشتركة بين المستأجرين داخل الخدمة. تقرير تمت مشاركتها مع The Hacker News.
خدمة Azure AI Health Bot هي منصة سحابية يمكّن المطورين في مؤسسات الرعاية الصحية من إنشاء ونشر مساعدين صحيين افتراضيين مدعومين بالذكاء الاصطناعي وإنشاء طيارين مساعدين لإدارة أعباء العمل الإدارية والتفاعل مع مرضاهم.
يتضمن ذلك الروبوتات التي أنشأها مقدمو خدمات التأمين للسماح للعملاء بالبحث عن حالة المطالبة وطرح الأسئلة حول المزايا والخدمات، بالإضافة إلى الروبوتات التي تديرها كيانات الرعاية الصحية لمساعدة المرضى في العثور على الرعاية المناسبة أو البحث عن الأطباء القريبين.
يركز بحث Tenable بشكل خاص على جانب واحد من خدمة Azure AI Health Bot Service اتصالات البيانات، والتي، كما يوحي الاسم، توفر آلية لدمج البيانات من مصادر خارجية، سواء كانت أطرافًا ثالثة أو نقاط نهاية واجهة برمجة التطبيقات الخاصة بمقدمي الخدمة.
على الرغم من أن الميزة تحتوي على وسائل حماية مضمنة لمنع الوصول غير المصرح به إلى واجهات برمجة التطبيقات الداخلية، إلا أن المزيد من التحقيقات وجدت أنه يمكن تجاوز وسائل الحماية هذه عن طريق إصدار استجابات إعادة التوجيه (على سبيل المثال، 301 أو 302 رموز الحالة) عند تكوين اتصال بيانات باستخدام مضيف خارجي تحت سيطرة الفرد .
من خلال إعداد المضيف للرد على الطلبات من خلال استجابة إعادة التوجيه 301 المخصصة لخدمة بيانات التعريف الخاصة بـ Azure (IMDS)، قال Tenable إنه كان من الممكن الحصول على استجابة صالحة لبيانات التعريف ثم الحصول على رمز وصول مميز لـ manager.azure[.]com.
ويمكن بعد ذلك استخدام الرمز المميز لسرد الاشتراكات التي يوفر الوصول إليها عن طريق الاتصال بنقطة نهاية Microsoft والتي بدورها تقوم بإرجاع معرف اشتراك داخلي، والذي يمكن الاستفادة منه في النهاية لسرد الموارد التي يمكن الوصول إليها عن طريق استدعاء واجهة برمجة تطبيقات أخرى.
وبشكل منفصل، تم اكتشاف ذلك أيضًا نقطة نهاية أخرى المتعلقة بتكامل الأنظمة التي تدعم موارد التشغيل البيني السريع للرعاية الصحية (فير) كان تنسيق تبادل البيانات عرضة لنفس الهجوم أيضًا.
وقالت Tenable إنها أبلغت Microsoft بالنتائج التي توصلت إليها في يونيو ويوليو 2024، وبعد ذلك بدأت الشركة المصنعة لنظام التشغيل Windows في طرح الإصلاحات في جميع المناطق. لا يوجد دليل على أن هذه القضية قد تم استغلالها في البرية.
وقال تينابل في بيان: “تثير نقاط الضعف مخاوف بشأن كيفية استغلال برامج الدردشة الآلية للكشف عن معلومات حساسة”. “على وجه الخصوص، تضمنت نقاط الضعف خللًا في البنية الأساسية لخدمة chatbot، مما يسلط الضوء على أهمية تطبيقات الويب التقليدية والأمن السحابي في عصر روبوتات الدردشة المدعومة بالذكاء الاصطناعي.”
ويأتي هذا الكشف بعد أيام من قيام Semperis بتفصيل تقنية هجوم تسمى غير مصرح به الذي يسمح بتصعيد الامتيازات باستخدام Microsoft معرف إنترا (Azure Active Directory سابقًا)، بما في ذلك القدرة على إضافة المستخدمين وإزالتهم من الأدوار المميزة. قامت Microsoft منذ ذلك الحين بسد الثغرة الأمنية.
“كان من الممكن أن يستخدم أحد عناصر التهديد هذا الوصول لرفع الامتياز إلى المسؤول العالمي وتثبيت المزيد من وسائل الثبات لدى المستأجر،” الباحث الأمني إريك وودروف. قال. “يمكن للمهاجم أيضًا استخدام هذا الوصول لإجراء حركة جانبية في أي نظام في Microsoft 365 أو Azure، بالإضافة إلى أي تطبيق SaaS متصل بمعرف Entra.”
إرسال التعليق